Blog of Dimaz » Virus

Memperbaiki Open With pada Drive

admin — Mon, 16 Aug 2010 13:28:15 +0000

Mungkin judul di atas kurang menjelaskan materi yang akan dipaparkan di postingan ini, tetapi maksudnya begini. Pada komputer yang terinfeksi virus tertentu, ada kalanya user tidak bisa mengakses drive dari windows explorer. Normalnya, pada alamat My Computer di windows explorer, kita bisa mengklik drive yang tersedia untuk mengakses isinya. Tetapi karena infeksi virus, terkadang hal ini tidak bisa dilakukan, malah muncul jendela Open With yang biasa muncul ketika kita hendak mengakses file-file yang memiliki ekstensi yang tidak dikenali sistem. Bagaimana cara mengatasinya?

Sebenarnya caranya sangat mudah. Problemnya terjadi karena pada drive Anda terdapat tambahan sebuah file yaitu autorun.inf yang akan dijalankan begitu Anda mengklik ikon drive. Ketika Anda mengklik ikon drive, perintah yang terdapat pada autorun.inf akan otomatis menjalankan file virus yang menginfeksi komputer Anda. Nah, apabila file tersebut sudah tidak ada karena mungkin antivirus Anda sudah bisa menghapusnya, maka yang muncul adalah jendela Open With.
Yang harus Anda lakukan hanyalah menghapus file autorun.inf pada setiap drive yang tidak bisa diakses dengan normal.
1. Masuklah ke command prompt dari start – run – ketik “cmd”.
2. Kemudian arahkan prompt ke drive yang dimaksud, misalnya drive D maka ketikkan D:
3. Apabila drive yang dimaksud adalah drive C, yang harus Anda lakukan adalah mengetik “cd..” tanpa tanda petik hingga prompt menunjuk ke drive C.
4. Kemudian periksalah apakah ada file bernama autorun.inf yang kita bicarakan ini, ketikkan “dir /a”, maka akan muncul semua daftar file yang ada.
5. Apabila ada file bernama autorun.inf, Anda harus menghapus atribut read-only nya dahulu sebelum bisa menghapusnya. Caranya, ketikkan “attrib -s -h -r -a autorun.inf”
6. Setelah itu ketik perintah “del autorun.inf” untuk menghapus file autorun.inf tersebut.
Setelah restart, maka komputer Anda akan sehat seperti sedia kala.

Error 1722 : The RPC Server is Unavailable Final Blow

admin — Sun, 25 Apr 2010 04:55:15 +0000

Masalah tentang Error 1722 : The RPC Server is Unavailable ternyata masih belum berakhir.
Postinganku tentang masalah ini ada di sini dan sini.

Setelah kubaca-baca lagi postingan lamaku, ternyata aku masih harus menginstal Windows Update yang dapat diunduh di sini.

Sigh, jadi sebenarnya ini double post

Error 1722 : The RPC Server is Unavailable

admin — Sat, 24 Apr 2010 13:36:22 +0000

Masih berkaitan dengan postinganku sebelumnya di sini, ternyata error The RPC Server is Unavailable-nya masih ada. Aku coba masuk ke situs support microsoft dan kaspersky pun ternyata gagal. Sigh…
Iseng-iseng aja kujalanin kkiller.exe, kido removal tool dari kaspersky yang pernah kupakai dan selalu standby di drive C-ku (postingan tentang kkiller ada di sini, download kkiller di sini).
Nah, tampaknya sudah beberapa waktu berlalu dan Error 1722 : The RPC Server is Unavailable belum keluar lagi (dan semoga tidak keluar).

Capek ya ngurusin virus melulu? Kayak nggak ada habisnya….

Incoming search terms for the article:

Melawan Trojan sshnas21.dll

admin — Sat, 24 Apr 2010 09:53:56 +0000

Sekedar catatan kecil, siang ini koneksiku terganggu. Penyebabnya, muncul not responding yang berhubungan dengan sshnas21.dll. Setelah error message muncul, koneksi jadi tak jalan dengan error message: the rpc server is unavailable.

Setelah googling sebentar, dapat petunjuk bahwa malwarebytes yang pernah kudownload dulu sewaktu membasmi rootkit ternyata ampuh juga untuk mengobati penyakit yang satu ini. Malwarebytes yang trial version bisa diunduh dari sini.

Setelah instal lalu scan, dan jika ada tanda-tanda tertangkapnya sshnas21.dll (yang diidentifikasi sebagai trojan downloader), restart. Selesailah masalah

Incoming search terms for the article:

sshnas21 dll (83)

klif.sys : not enough quota is available to process this command

admin — Tue, 02 Jun 2009 07:47:48 +0000

Aku hari ini bertempur lagi dengan virus. Bukan virus sebenarnya, tetapi rootkit. Entah apa definisi rootkit, tetapi itulah yang kubaca dari beberapa referensi, terutama dari forum kaspersky.
Awalnya kukira komputer ini bakal mudah ditangani karena bisa masuk desktop dengan normal. Safe mode pun lancar.
Permasalahan muncul ketika aku mencoba memasang Kaspersky Internet Security 7 (KIS) untuk melindungi komputer ini dari virus karena ada beberapa komputer yang mem-broadcast serangan ke jaringan.
Ketika instalasi KIS, di tengah-tengah muncul error yang berhubungan dengan klif.sys

Aku agak lupa error message nya, tetapi intinya tidak bisa mengakses klif.sys dengan alamat C:\Windows\system32\drivers\klif.sys. Ide pertamaku adalah meng-inject file ini dari komputer lain, namun usahaku sia-sia karena muncul error not enough quota is available to process this command.
Agaknya aku belum mengerti bahwa ini adalah file milik Kaspersky sendiri. Setelah membaca banyak artikel, aku baru mengerti bahwa intinya installer Kaspersky hendak mengkopi file klif.sys ke C:\Windows\system32\drivers. Dari artikel yang kubaca, aku menduga ada rootkit yang menginfeksi salah satu service standar windows. Berdasarkan rekomendasi, aku mencoba Superantispyware yang freeware, dapat didownload di sini.

Nah ternyata memang benar, Superantispyware mendeteksi Rootkit.Agent/Haxdoor yang salah satunya menginfeksi file C:\Windows\system32\drivers\KKKGEN.sys. Setelah dibersihkan oleh software ini, reboot, dan ternyata ketika kucoba menginstal Kaspersky, lancar. Ehehehe…. Nice.

Kill The Kido

admin — Mon, 18 May 2009 00:33:49 +0000

Jam 7.12 pagi. Aku sudah standby di depan PC kantor demi menuntaskan rasa penasaranku pada virus Kido. Hahay, akhirnya terbunuh juga si Kido.
Awalnya aku berpikiran bahwa Autorun.inf bikinan Kido tidak bisa dihapus karena masih ada virus yang berkeliaran di memori. Tapi lantas aku berpikir, masa sih bisa gitu, padahal PC yang kupakai ini sudah kupasangi KIS dengan update terbaru.

Aku tak lupa menginstal patch Microsoft yang disarankan, untuk WinXP SP2 bisa didownload di sini. Dengan tools khusus pemberantas Kido yang kudapatkan di sini, akupun mengusahakan penghapusan lagi.
Ternyata masih belum bisa.

Penasaran…

Aku iseng membuka tool kido killer ini dari command prompt dengan penambahan parameter. Ternyata ada beberapa parameter yang bisa dipakai, berikut daftarnya:

C:\>kkiller.exe –help

Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2009
version 3.4.1 Mar 17 2009 14:06:06

USAGE:

kkiller.exe [-a] [-x] [-z] [-l ] [-y] [-s] [-v] [-n] [-r] [-f]
[-p ] [--] [--version] [-h]

Where:

-a, –dautorun
Disable autorun on all drive types

-x, –showhid
Show hidden and system files

-z, –services
Restore services

-l , –log
Log file name

-y, –autofinish
End program without pressing any key.

-s, –silent
Runs program in silent mode

-v, –verbose
Output every scanning object

-n, –network
Scan remote drives

-r, –removable
Scan removable drives and ramdisks

-f, –fixed
Scan fixed drives

-p , –path
Path to scan

–, –ignore_rest
Ignores the rest of the labeled arguments following this flag.

–version
Displays version information and exits.

-h, –help
Displays usage information and exits.

use spaces between ‘\’ and ‘”‘

Aku lantas memasukkan perintah
C:\>kkiller -p e:
dengan e: adalah harddisk eksternalku.
Ini hasil scan-nya:

Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2009
version 3.4.1 Mar 17 2009 14:06:06
scanning jobs …
scanning threads …

scanning modules in svchost.exe…
scanning modules in services.exe…
scanning modules in explorer.exe…

scanning e: …
E:\\autorun.inf infected Net-Worm.Win32.Kido … cured
fsearch::FolderTraveller: cd (???!)?????????????????? ?????: invalid name
123

completed
Infected jobs: 0
Infected files: 1
Infected threads: 0
Splices functions: 0
Cured files: 1
Fixed registry keys: 0

Press any key to continue . . .

Kucek lagi dengan perintah dir /a ternyata autorun.inf sudah lenyap tak berbekas. Hurray!

Virus Apakah Ini?

admin — Sun, 17 May 2009 06:22:14 +0000

Kali ini aku pusing. Tak bisa mendeteksi jenis virus yang menyerang PC rumah yang sekarang kupakai ini.
Coba lihat gambar.

Pertama kali aku menyadari adanya virus ketika aku tak bisa menghapus file di hdd eksternalku. Kupikir ini virus Kido yang juga kutemukan di komputer kantor. Masalahnya adalah sampai saat ini aku belum menemukan remover-nya. Ada file autorun.inf yang tak mau terhapus walau aku sudah menerapkan perintah attrib -s -h -r -a padanya. Access denied! Kurang asem. Waktu kucoba delete, Could not find autorun.inf. Jah!

Makin aneh lagi ketika aku menelusuri task manager, ada beberapa process yang tidak seharusnya running. Avgrsx.exe adalah proses dari AVG yang sengaja kumatikan karena PC ini tak kuat menjalankannya. Terus ada lagi firefox.exe yang walau aku tak membuka browser, proses tetap ada.
Yang paling aneh adalah lingkaran merah pertama dari gambar. Itu screenshot DUMeter, tetapi jadi apa judulnya? AVG Anti-Virus Free!!!

Aku belum bisa menghabisi virus ini, not yet.

Me vs Virus

admin — Sat, 16 May 2009 16:04:58 +0000

Di sini virus, di sana virus, di mana-mana kok ada virus

Asli, aku baru nyadar kalau aku terkepung virus. Virus komputer tepatnya.
Udah sejak hari Senin sampai Jumat aku berkutat dengan komputer-komputer kantor yang terserang virus hingga stadium akhir alias nyaris matot, mati total. Awalnya modalku cuma killermachine dan task manager. Begitu task manager di-disable dan programnya di-protect, habis sudah. Aku mencoba mencari alternatif-alternatif solusi. Salah satu yang terpikirkan adalah memancing virus menggandakan diri ke flashdisk saktiku yang punya tombol lock (write lock), harapannya tentu virus ini adalah jenis virus jalang yang suka bereproduksi via removable storage, tentunya.
Aku mendapatkan apa yang kumau setelah beberapa kali percobaan. Ada 1 file yang (akhirnya) dapat kutetapkan sebagai sampel. Setelah itu aku tak tahu lagi apa yang harus kulakukan, karena lagi-lagi killermachine mengecewakanku. Sampel yang kudapat tak mampu menjadi referensi yang bagus untuk mencari file induk virus. Sigh…

Aku terus browsing dengan keyword yang kuvariasi. Aku menemukan beberapa file, di antaranya file berekstensi .pif dan autorun.inf yang muncul di flashdisk. Isi autorun kubuka dan kujadikan keyword. Hasilnya tak bagus. Aku kesasar, kukira virus ini bernama virus autorun.
Sampai suatu waktu aku sampai di link file scanner kaspersky. Aha, aku mencoba memasukkan file sampelku dan akhirnya keluarlah hasilnya.

Sality

Aku pernah berurusan dengan sality, tapi tak sampai segini parah. Aku mendapatkan referensi di sini untuk mendownload removernya di sini. Great, remover bekerja dengan baik. Sistem komputer pun tak terlalu parah kerusakannya.

Pasien kedua datang.
Kali ini lebih parah, booting tak mampu mencapai desktop. Pusing aku. Seniorku menyarankanku untuk men-scan-nya hard disknya di komputer lain sebagai slave. Betul juga, pikirku. Segera aku menyiapkan komputerku yang kulengkapi dengan KIS, Kaspersky Internet Security 7 yang langsung kuupdate hingga latest database version.
Scanning pun berjalan baik dengan hampir seribu file yang terjangkit mampu di-disinfect. Kucoba booting, berhasil masuk desktop.

Masalah tak berhenti sampai di situ. Setelah masuk desktop ternyata nge-hang tanpa bisa diapa-apakan. Parah nih, pikirku.
Namn lagi-lagi seniorku mengingatkanku bahwa ada tombol sakti F11 milik Lenovo yang dapat digunakan untuk me-restore sistem tanpa menghapus file dokumen. Mirip system restore-nya Windows. Yay, sukses.
Komputer langsung kulindungi dengan KIS dan database-updated.

Pasien ketiga, Oh My GOD!!!
Dengan pengetahuan-virusku-yang-seakan-akan-melambung-tinggi, aku men-scan harddisk sebagai slave dengan KIS. Hasilnya? 1200-an file teridentifikasi terjangkit virus tanpa satupun yang mampu di-disinfect. Tak satupun!
Aku melihat-lihat log-nya, ternyata ada worm Kido di situ, berbentuk autorun.inf. Hasil browsingan juga menunjukkan bahwa file autorun ini menyebabkan harddisk seperti read-only, file-file di dalamnya tak bisa dimodifikasi. Aku mencoba mencari cure-nya, tetapi ternyata komputer sudah diminta si empunya mesin, jadi operasi tak bisa dilaksanakan. Karena hari sudah Jumat sore, aku bersiap turing pulang ke Semarang.

Sampel Virus

admin — Thu, 15 Jan 2009 14:26:18 +0000

Ini ada 2 sampel virus. Yang satu virus isee, yang satu lagi virus word (menghapus file doc dan menggantinya dengan file virus, juga menyembunyikan ekstensi .exe).
Tujuanku mempublikasikan sampel adalah agar ada yang barangkali bisa membuatkan vaksinnya. Mohon jangan disalahgunakan. Dua virus ini sudah sangat merugikanku.
E-mail me for the winrar password.
- isee
- resume